Dieser Hintergrundartikel befasst sich mit den Ergebnissen, die aus der Analyse einer speziellen Spam-Nachricht gewonnen wurden. Dabei entdeckten die Kaspersky-Experten aktuelle Betrugsmethoden von Cyberkriminellen, unter anderem um illegale Botnetze aufzubauen oder Spam-Mitteilungen zu versenden. Die analysierte Vorgehensweise weist eindeutig kriminellen Charakter auf und dient einzig und allein der Bereicherung der Cyberbetrüger.
Spam
Erst vor kurzem wurden in der Content-Filtering-Abteilung bei Kaspersky Lab E-Mails entdeckt, die sich auf den ersten Blick durch nichts von gewöhnlichen Spam-Mitteilungen zu unterscheiden schienen. Es handelte sich dabei um weit verbreiteten, standardisierten E-Mail-Spam mit Werbung für Medikamente, bestehend aus einem HTML-Teil und eingebetteten Abbildungen:
Abb. 1: Beispiel für eine Spam-Nachricht, gesendet an webmaster@viruslist.com
Diese Mails unterschieden sich allerdings in einem wesentlichen Merkmal von der üblichen Masse an Spam-Nachrichten: Die Links in den E-Mails verwiesen nicht auf die Internetseiten der Spammer, sondern führten zu legalen Webseiten.
Auch wenn die Domains in den Links von Mail zu Mail variierten, blieb der Pfad auf den Server stets derselbe: "1/2/3/4/buy/html".
Abb. 2: Quellcode einer E-Mail mit Links zu legalen Internetseiten
Alle Seiten, auf die die Links verwiesen, enthielten eine einzeilige HTML-Datei mit einem Meta-Refresh-Tag. Das Ziel dieses Tags bestand darin, den Anwender auf eine andere Seite umzuleiten, in diesem Fall auf die Webseite eines Internetshops für den Verkauf von Medikamenten. Die Shopseite wurde ebenfalls von den Spammern beworben.
Abb. 3: Quellcode der Webseite, auf der man zu der Spammer-Seite weitergeleitet wurde
Abb. 4: Die Webseite, auf die die Benutzer umgeleitet wurden
Eine der Methoden zur Identifikation von Spam besteht darin, den Domainnamen aus dem Link der Spam-Mail auf eine schwarze Liste zu setzen, so dass alle Werbe-Mails unabhängig vom Text der Spam-Nachricht erkannt werden. In diesem Fall war die Aufspürung der in den Spam-Mails angegebenen Domains jedoch nicht möglich, weil diese zu legalen Internetseiten führten und die Kaspersky-Experten im Content-Filter pro Tag an die zehn neue Domains feststellen. Diese Methode ist unter Spammern schon seit einigen Jahren bekannt, wird aber selten verwendet, da sie mit mehr Kosten verbunden ist als der Ankauf neuer Domains.
Wahrscheinlich wurden die in den E-Mails angegebenen Webseiten von Cyberkriminellen gehackt, um die Anwender auf die Internetseite der Spammer umzuleiten. Unklar dabei ist jedoch, wie es den Betrügern gelungen sein soll, eine so große Anzahl von Internetseiten zu hacken.
Internetseiten
Viele Internetseiten sind mit Standardmethoden nicht zu hacken. Eine Schnellanalyse der gehackten Webressourcen ergab, dass es sich nicht um dieselben Sicherheitslücken handeln konnte; auch wiesen die Internetseiten nicht immer denselben Aufbau auf. Außerdem wurden die meisten der Seiten nur in HTML ohne Scripts erstellt. Das einzige Merkmal, das alle gehackten Seiten gemeinsam hatten, war ein Ordner mit der Datei "buy. html". Diese Datei enthielt einen HTML-Tag, durch den die Anwender auf die Seite des Online-Medikamenten-Shops der Spammer umgeleitet wurden.
Nach einer gründlichen Analyse des Inhalts einer der gehackten Webseiten entdeckten die Kaspersky-Analysten allerdings einen äußerst gut getarnten iFrame, der die Benutzer auf die Seite b9g.ru umleitete. Ein verdächtiges Zeichen, denn solche iFrames mit Link zu verdächtigen Seiten werden von Cyberkriminellen häufig zur Infizierung von Computern mit Hilfe von Exploits verwendet.
Abb. 5: Inhalt der gehackten Seite
Die Analyse der Seite b9g.ru zeigte, dass sie aus den folgenden fünf IP-Adressen bestand:
77.37.20.130
90.156.144.78
77.37.19.173
77.37.19.179
77.37.19.205
Nachdem alle Daten zu den Domains mit denselben IP-Adressen gesammelt wurden, entdeckten die Kaspersky-Analysten Domains, deren IP-Adressen für den von den Betrügern eingefügten iFrame angegeben waren: zum Beispiel a3l.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at usw. Der Verdacht, dass es sich hierbei um schädliche iFrames handelte, erhärtete sich.
Exploits
In der nächsten Phase galt es zu klären, was denn genau von der Internetseite http://b9g.ru:****/*****.php auf den Computer der Anwender heruntergeladen wurde. Wie erwartet, wurden beim ersten Besuch der Seite zusammen mit index.php auch Exploits geladen. Cyberkriminelle missbrauchen zahlreiche Sicherheitslücken in den unterschiedlichsten Programmen, wobei PDF-Exploits am gefährlichsten und am erfolgreichsten sind.
Abb. 7: Inhalt von index.php vor und nach erfolgter Entschlüsselung
Bot
Durch das Ausnutzen dieser Sicherheitslücken erfolgten dann der Download und die Installation der auszuführenden Datei Backdoor.Win32.Bredolab. Mit seiner Rootkit-Funktionalität lädt und installiert dieses Schadprogramm weitere Schadenssoftware auf den Computer.
Abb. 8: Teil des Speicherdumps des Rootkit-Downloaders
Der Bot Bredolab versucht seine Ausführung in der Sandbox zu verhindern und überprüft hierzu die folgenden Merkmale:
Benutzername − USER, user, CurrentUser, Sandbox
Computername − SANDBOX
Vorhandensein der VBOX-Zeile im Registry-Key HKLM\HARDWARE\Description\System\SystemBiosVersion
Produkt-ID-Nummer in HKLM\Microsoft\Windows\CurrentVersion:
55274-640-2673064-23950 (JoeBox)
76487-644-3177037-23510 (CWSandbox)
76487-337-8429955-22614 (Anubis)
Trifft eine dieser Angaben zu, nimmt das Schadprogramm seinen Betrieb auf.
Bredolab wird auch dann ausgeführt, wenn auf dem infizierten Computer eine COMODO-Firewall installiert ist. In den anderen Fällen kopiert Bredolab sich in die Datei %Temp%\~TM27FB4A.TMP, schleust seinen Code in explorer.exe ein, startet dort einen neuen Thread und verschiebt sich in %Temp%\~TM%TempName%. Der Bot setzt anschließend seine Arbeit in dem von ihm gestarteten Thread fort und der Initialisierungsprozess wird ausgeführt.
Bei erfolgreicher Verbindung mit dem Command-&-Control-Server des Schädlings sendet der Bot die GET-Anfrage: GET /l/controller.php?action=bot&entity_list={Nummern durch Komma getrennt} &uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712
Daraufhin übermittelt der Server dem Bot verschlüsselte Daten, die der Bot dann in die neue Datei %Windows%\Temp\wpv%rand_number%.exe schreiben kann (mit nachfolgendem Start der Datei) oder in den neu erzeugten Prozess svchost.
Abb. 9: Beispiel für eine verschlüsselte Nachricht des Command-&-Control-Servers
Antwort des Command-&-Control-Servers. Der Schlüssel zur Dekodierung ist im Magic-Number-Feld enthalten
Im Verlauf der Aktivitäten meldet sich der Bot beim Botnet-Besitzer mit der folgenden GET-Anfrage: GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={Zahl:unique_start|unique_failed|repeat_start|repeat_failed;Zahl:...}
Trojaner als Passwort-Diebe
Ist das Botprogramm mit dem Command-&-Control-Server verbunden, wird das Schadprogramm Trojan-PSW.Win32.Agent.mzh auf das infizierte System herunter geladen und installiert. Dieses Programm stiehlt dann Passwörter für den Zugang auf FTP-Clients.
Abb. 10: Entschlüsselter Code des Trojaners für den Diebstahl von FTP-Passwörtern
Die gestohlenen FTP-Passwörter wurden von den Betrügern an folgende Adresse versendet:
Abb. 11: Daten des Servers, an den die gestohlenen FTP-Passwörter gesendet wurden
Schlussendlich erhielten die Kaspersky-Experten eine Erklärung für die Funktion der gehackten Internetseiten. Die Online-Betrüger hatten nicht versucht, eine große Anzahl von Internetseiten mit Hilfe einer SQL-Injection oder Exploits für das Content-Management-System zu hacken, sondern stahlen einfach die Passwörter zu den FTP-Clients, um so den Inhalt der Seiten zu manipulieren.
In Beschreibungen des Trojaners Trojan-PSW.Win32.Agent.mzh in einschlägigen Hackerforen war zu lesen, dass er zu einem System für den Diebstahl von Passwörtern gehört. Das System wurde für 2.000 US-Dollar zum Kauf angeboten.
Download anderer Schadprogramme
Nach einer Woche gab die Kommandozentrale des Botnetzes den Befehl zum Download von Bots, unter anderem die gefährlichen Exemplare Rustock (Backdoor.Win32.HareBot) und Pushdo (Backdoor.Win32.NewRest.aq). Wieder eine Woche später wurden auf den infizierten Computern ein Schadprogramm der Koobface-Familie sowie ein falsches Antiviren-Programm installiert.
Das Angriffsschema
Die Kaspersky-Analyse, der ursprünglichen Spam-Mail, ergab folgende Vorgehensweise der Cyberkriminellen:
Abb. 12: Funktionsweise des Systems zum Hacken von Internetseiten und Versenden von Spam-Nachrichten
Dieses Schema zeigt die Abläufe und Methoden, die die Betrüger zur Erstellung von Botnetzen und zur Vorbereitung von Spam-Versendung verwenden:
Hacken legaler Ressourcen
Verlinkung auf gehackte Internetseiten, die den Benutzer auf die Seiten der Spammer umleiten
Platzierung von Links auf den gehackten Seiten, die zu Exploits führen
Erstellung eines Botnetzes aus Rechner, die beim Besuch der gehackten Webseiten infiziert wurden.
Diebstahl von Passwörtern
Download verschiedener Schadprogramme sowie von Spambots zur Versendung von Spam
Diese Vorgehensweise ermöglicht es Cyberkriminellen, einen reibungslosen Ablauf zu organisieren, der sich im Idealfall zyklisch wiederholen lässt.
Fazit
Die Versendung von Spam-Mails mit Links zu gehackten oder infizierten Webseiten ist in der Cybercrime-Szene sehr beliebt, weil sich dadurch die illegalen Einnahmen effektiv erhöhen lassen. Stündlich entdecken Kaspersky-Experten zahlreiche neue Adressen oder Domains, mit denen sich das hier aufgezeigte Betrugsverfahren durchführen lässt. Ein weiteres Beispiel zeigen die folgenden Abbildungen:
Abb. 13: Beispiel für eine Spam-Mail mit Link zu einer gehackten Seite
Abb. 14: Quellcode des HTML-Teils der Mail
Der Link (http://.../1.html) im Beispiel oben führt auf die Seite der gehackten Webseite, die den Tag enthält, der den Benutzer auf die Seite mit dem Online-Shop für Medikamente umleitet. Die Spammer verwenden dieses Prinzip in zahlreichen Spam-Mails. Sie verändern immer wieder die Namen der Umleitungsseiten und platzieren über iFrame andere Exploits, doch das Prinzip dabei bleibt dasselbe.
Ein abschließendes Beispiel aus dem Juli 2009 soll nochmals die hier vorgestellte Betrugsmethode illustrieren. Damals wurde gemeldet, dass die beliebte Torrent-Suchmaschine Torrentreactor gehackt worden sei. Die Art, wie die Tags eingesetzt wurden, die die Anwender auf Webseiten mit Exploits führten, ließ erkennen, dass zum Hacken ein Schadprogramm zum Diebstahl von FTP-Passwörtern verwendet worden war. Die Folge: Manipulation einer legalen Seite und die anschließende Verlinkung auf eine „verseuchte“ Seite.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt